Как бизнесу не попасть на штраф за непреднамеренные спам‑звонки

Телефонные номера россиян регулярно попадают в базы для обзвона: из‑за утечек данных, уволенных сотрудников и рекламных ботов. Поэтому в России ужесточаются правила обзвона граждан и SMS‑рассылки: теперь запрещены массовые прозвоны, если владелец телефонного номера не давал на них явного согласия, и незаконное использование персональных данных.

Но проблема, на самом деле, намного шире: пострадать от штрафов за совершение нежелательных звонков могут и добросовестные организации. Например, когда номер реального абонента на сайте компании оставил бот, пришедший по рекламе.

Как телефонные номера попадают в базу компании

Номер и другая контактная информация может попасть в базу двумя способами:

• добросовестно — клиент сам оставил свои контакты;
• недобросовестно — их оставил бот, мошенник, другой пользователь.

Когда заявки оставляют реальные клиенты. Стандартный сбор контактов в разных бизнес‑нишах, в первую очередь в B2C‑сегменте, выглядит примерно так:

1. Пользователи переходят на сайт компании по рекламным объявлениям, из поиска, с онлайн‑карт, соцсетей, мобильных приложений и справочников.
2. Если они заинтересованы в услуге или товаре, то оставляют заявку или заказ со своим ФИО, телефоном, Email и другими данными. Сюда же относится регистрация, подписка, бронирование.
3. Заявка попадает в CRM‑систему, где создается сделка, карточка клиента, рабочая задача.
4. Менеджерам компании остается только связаться с клиентом для уточнения деталей заказа.

Это пример успешного завершения воронки продаж. Однако в последнее время бизнес сталкивается со спамом в свою сторону, когда заявки с чужими или несуществующими контактами оставляют мошенники.

1. Спам‑боты переходят по рекламным объявлениям.
2. Оставляют на сайте заявку (оформляют заказ, бронирование, обратный звонок, то есть выполняют любую установленную цель). В качестве данных они используют искусственно сгенерированные (несуществующие) телефонные номера и контакты реальных людей.
3. Менеджеры связываются с клиентами в надежде уточнить детали заявки или подтвердить заказ, но в итоге возникает конфликтная ситуация.

Увидеть такую атаку можно сразу:

1. В системах аналитики (например, в Яндекс Метрике) будет резкий рост количества визитов и переходов по рекламе.
2. В рекламном кабинете — стремительный расход бюджета.
3. Нулевые продажи при высокой конверсии.
4. Менеджеры по работе с клиентами начинают жаловаться на несуществующие номера и недоброжелательных собеседников на другом конце провода.

Повезет, если абонент при таком звонке просто бросит трубку. Хуже, если он решит пожаловаться на вашу компанию. Тогда вам может грозить попадание в черный список оператора, штраф, приостановка деятельности.

Что будет, если обзванивать людей, которые не оставляли вам свой номер

1 июня 2025 года в России вступил в силу новый Федеральный закон о связи, внесены изменения в статью 13.11 КоАП о правилах обработки персональных данных. Также с 1 сентября этого года введена маркировка телефонных вызовов. На какие документы нужно обратить внимание:

Закон о связи №41‑ФЗ от 01.04.2025, или «закон о спам‑звонках». Он регулирует защиту прав потребителей от массовых прозвонов, телефонного мошенничества, недостоверной и навязчивой информации.

Согласно данному закону, с 1 сентября 2025 года совершать массовые звонки и рассылки можно будет только после получения предварительного согласия абонента и с обязательной маркировкой (название компании, категория звонка, краткая информация). Согласие должно быть выражено явно и однозначно (например, сохранение записи звонка с подтверждением согласия). Это важно для доказательной базы при возможных проверках.

За массовые звонки без согласия владельца номера предусмотрены административные штрафы, вплоть до приостановки деятельности компании:

• малый бизнес и микропредприятия — от 150 тыс. до 500 тыс. рублей;
• средний и крупный бизнес — от 300 тыс. до 1 млн рублей.

Штраф возможен даже за один неправомерный звонок или СМС. Также оператор связи может блокировать немаркированные звонки для защиты граждан от спама. Чтобы этого не произошло, компания должна заключить с оператором соответствующий договор.

Ст. 13.11 КоАП в области обработки персональных данных (ПДн). С 30 мая этого года внесены изменения в статью 13.11 Кодекса об административных правонарушениях, согласно которым за некорректную обработку персональных данных предусмотрены строгие санкции.

Существуют следующие правила, за нарушение которых грозят штрафы:

1. Обработка персональных данных, не предусмотренная законодательством, или несоответствие собранных данных целям сбора: для ИП и организаций — до 300 тыс. рублей.
2. Работа с ПДн без обязательного согласия при его необходимости: для ИП и юр. лиц — от 300 тыс. до 700 тыс. рублей; при повторном нарушении — от 500 тыс. до 1,5 млн рублей.
3. Компания не отправила уведомление в Роскомнадзор о том, что собирает персональные данные — от 100 тыс. до 300 тыс. рублей.
4. В Роскомнадзор не было направлено уведомление о факте утечки ПДн — от 1 млн до 3 млн рублей.

Повторные нарушения и игнорирование требований уполномоченных органов ведут к более строгим наказаниям.

Что делать бизнесу, чтобы не получить штраф за спам

Бизнес может снизить риски, чтобы не попасть на штраф за недобросовестное использование телефонных номеров и ПДн без ведома пользователей. Что можно сделать:

Отныне недопустимо включать согласие на обработку персональных данных в договоры, пользовательские соглашения, анкеты или заявления — это должен быть отдельный документ. Не забудьте уведомить Роскомнадзор о начале обработки персональных данных.

Получите согласие абонента. Массовые рекламные звонки разрешены только в том случае, если получено явное и документально подтвержденное согласие клиента. Требуется обеспечить фиксацию этого согласия: пользователь должен проставить галочку для подтверждения.

Получите от клиента согласие на получение рекламы. Это должен быть отдельный документ, который не идет вместе с согласием на обработку данных.

Заключите договор со своим оператором связи на маркировку. Чтобы не попасть за случайный спам в черный список своего оператора, заключите с ним договор на маркировку звонков в соответствии с новыми правилами.

Используйте корпоративные номера для звонков. Так вы сузите количество номеров, которые используются для коммуникации с клиентами, верифицируете свою компанию и сможете избежать блокировок и претензий.

Подключите капчу к формам на сайте. Установив капчу, вы не дадите ботам возможность оставлять вам заявки с чужими номерами и подставлять вас под штрафы и другие санкции.

Рекомендуем выбирать не ту капчу, где нужно поставить галочку «Я не робот» (боты научились их разгадывать), а нового уровня — на базе ИИ и машинного обучения. Они работают в фоновом режиме, не мешают настоящим пользователям и анализируют технические характеристики посетителя (устройство, цифровой след, ОС, IP и т. д.) и его поведение (прокрутка, клики, движение курсора). Например, Yandex SmartCaptcha, reCAPTCHA v3 от Google, Умная капча.

Альтернатива капче. Если у вас нет возможности подключить капчу, можно использовать другие варианты:

1. Honeypots — дополнительные скрытые поля‑ловушки у формы, которые видны ботам, но не людям. Боты будут вынуждены их заполнять, и тогда ваши менеджеры увидят в заявке лишнее заполненное поле и не будут звонить «абоненту».
2. Антиспам‑плагины для CMS (системы управления сайтом) — защищают не только от спам‑заявок, но и фальшивых комментариев, регистраций, подписок, заказов, бронирований, голосований и т. д.
3. Сервисы по типу «Антибот» — блокируют ботам доступ к страницам сайта.

Существуют и другие варианты, например, hCaptcha, KeyCAPTCHA (пазлы и головоломки), авторизация через соцсети.

Включите двухфакторную аутентификацию (2FA) для регистраций и авторизаций. Если на вашем сайте предусмотрена регистрация, используйте двухфакторную аутентификацию, то есть отправку кода с подтверждением на электронную почту или телефон. Это позволит отсеять ботов и фальшивые аккаунты — они просто не смогут пройти дальше первого шага.

Блокируйте спамеров по IP. На данный момент в счетчиках аналитики отследить IP посетителей сайта нельзя, но можно отследить всплески визитов и ориентироваться на временной период. Сам список IP‑адресов необходимо смотреть в логах сервера, а затем составить и отправить хостинг‑провайдеру для блокировки.

К данному методу нужно подходить очень осторожно, чтобы не заблокировать реальных клиентов. Указать на спам может высокая частота визитов с одного IP за короткий промежуток времени, но с разных устройств, браузеров и систем (мошенники используют ротацию технических характеристик, чтобы скрыть вредоносную активность).

Поможет и разграничение доступа сотрудникам. Для сотрудников должны быть открыты те данные, которые нужны непосредственно для их работы. Например, для менеджера — контакты только тех клиентов, которых он ведёт. Это защитит от утечек в том числе. Закрывать для работников доступ к базе желательно сразу же после решения об увольнении, чтобы у них не было времени скопировать данные.

Регулярно проверяйте актуальность телефонных номеров в базе. Номера могут переходить другим абонентам, и, если еще вчера он был закреплен за вашим клиентом, то сегодня это может быть другой человек.

Чтобы не спамить случайным абонентам, запрашивайте у пользователей во время очередного заказа или заявки подтверждение, что номер и данные актуальны. Или периодически присылайте отдельные запросы.

Редактор: Алёна Быкова